Deutscher Bundestag 

18. Wahlperiode 


Drucksache 1 8/4637 

16.04.2015 


Antwort 

der Bundesregierung 


auf die Kleine Anfrage der Abgeordneten Jan Körte, Ulla Jelpke, Katja Kipping, 
weiterer Abgeordneter und der Fraktion DIE LINKE. 

- Drucksache 18/4530 - 


Konsequenzen nach Angriff auf weltweit größten Chipkartenhersteller durch 
die Geheimdienste NSA und GCHQ 


Vorbemerkung der Fragesteller 

Bei dem Versuch, die weltweite Kommunikation überwachen und kontrollieren 
zu können, geraten zunehmend Internets icherheits firmen ins Visier der Ge- 
heimdienste. Die Enthüllungsplattform „The Intercept“ hat am 19. Februar 
2015 Dokumente aus dem Fundus von Edward Snowden veröffentlicht, laut 
denen eine gemeinsame Hackerspezialeinheit des britischen Geheimdienstes 
Government Communications Headquarters (GCQH) und des US-amerikani- 
schen Geheimdienstes National Security Agency (NSA) die Verschlüsselungs- 
codes für SIM-Karten des niederländischen Chip- und Magnetstreifenkarten- 
herstellers Gemalto erbeutet haben soll (https://firstlook.org/theintercept/2015/ 
02/19/great- sim-heist/). 

Demnach seien NSA und GCHQ im Jahr 2010 in die Systeme von Gemalto, 
der sich selbst als „Weltführer bei digitaler Sicherheit“ bezeichnet, eingedrun- 
gen und hätten millionenfach SIM-Karten-Schlüssel gestohlen. Die Firma pro- 
duziert neben SIM-Karten unter anderem auch Ausweise, Plastikgeld, Mobile- 
Payment-Geldbörsen, Autoschlüssel und die elektronische Gesundheitskarte. 
Laut „The Intercept“ beinhalten die Snowden-Dokumente darüber hinaus 
Hinweise, dass die Geheimdienste 2010 auch einen vergleichbaren Angriff auf 
Gemaltos Konkurrenten, den deutschen Chiphersteller Giesecke & Devrient, 
geplant hatten. Außerdem muss davon ausgegangen werden, dass in den ver- 
gangenen Jahren auch andere Hersteller Ziel geheimdienstlicher Angriffe wa- 
ren. Ebenso werden in den von „The Intercept“ analysierten Dokumenten mit 
Nokia, Huawei und Ericsson die zum damaligen Zeitpunkt großen Handyher- 
steller als Spionageziel genannt (vgl. hierzu auch www.heise.de/newsticker/ 
meldung/SIM-Karten-Hack-Die-Kompromittierung-der-Mobilfunknetze-durch- 
NSA-GCHQ-2555714.html). 

Durch den Diebstahl der Verschlüsselungscodes wäre es den Geheimdiensten 
möglich, unbemerkt massenhaft Handykommunikation abzuhören - auch ohne 
Anfrage an die Provider oder einen Gerichtsbeschluss. Gemalto hat nach den 
Enthüllungen eine Untersuchung eingeleitet und die Ergebnisse am 25. Februar 
2015 bekannt gegeben (www.gemalto.com/press/Pages/Gemalto-presents-the- 
fmdings-of-its-investigations-into-the-alleged-hacking-of-SIM-card-encryption- 
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keys.aspx). Die Prüfung habe demnach ergeben, dass es höchstwahrscheinlich 
tatsächlich Cyberangriffe der Geheimdienste im Jahr 2010 gegeben habe, bei 
diesen sei allerdings nur in das Büronetz von Gemalto eingebrochen worden 
„und sie hätten nicht zu einem massiven Diebstahl von Sim-Karten-Schlüssel 
führen können“, so die Stellungnahme. Zugleich ließ Gemalto jedoch die Mög- 
lichkeit offen, dass Sim-Karten-Schlüssel außerhalb der gesicherten Systeme 
des Konzerns abgegriffen worden sein könnten. Dem Bericht von „The Inter- 
cept“ zufolge sollen die Geheimdienste versucht haben, die Codes bei der 
Übermittlung an Mobilfunkkunden abzufangen. Gemalto erklärte nun, dass die 
Firma allerdings bereits vor 2010 bis auf „wenige Ausnahmen“ einen sicheren 
Übertragungsweg eingesetzt habe. Allerdings hätten laut Gemalto einige an- 
dere Anbieter und Mobilfunkbetreiber zum damaligen Zeitpunkt keine siche- 
ren Übertragungswege benutzt. Gemalto teilte weiter mit, dass die Firma dank 
des Berichts von „The Intercept“ schließlich Cyberattacken aus den Jahren 
2010 und 2011 habe einordnen und dabei unter anderem feststellen können, 
dass damals eine französische Website des Konzerns ausgespäht und die Com- 
puter mehrerer Mitarbeiter angegriffen wurden. Ferner seien an einen Netzbe- 
treiber E-Mails mit verseuchtem Anhang von angeblichen Gemalto-Adressen 
verschickt worden, was ebenfalls als Teil der Geheimdienstaktion eingeschätzt 
wird. Giesecke & Devrient erklärte hingegen, dass die Firma „bisher keine Er- 
kenntnisse darüber, dass SIM-Karten-Schlüssel entwendet wurden“ habe (vgl. 
SPIEGEL ONLINE vom 25. Februar 2015). Unterdessen haben Sicherheits- 
forscher den Verdacht geäußert, dass die SIM-Karten-Schlüssel gar nicht das 
eigentliche Ziel der Geheimdienste waren und stattdessen die Angriffe das Ziel 
der Erbeutung der sogenannten OTA-Schlüssel (OTA — Over The Air) verfolgt 
habe. Mit den OTA-Schlüsseln können SIM-Karten-Updates aus der Feme si- 
gniert werden und so wären Geheimdienste in der Lage, unbemerkt Spionage- 
software auf die SIM-Karte von Verdächtigen zu übertragen. Entsprechende 
Angriffsszenarien werden ebenfalls in einem der Snowden-Dokumente als 
mögliches Ziel erwähnt (vgl. ZEIT ONLINE vom 25. Febmar 2015). 

Durch das Kompromittieren des Gemalto-Firmennetzes könnten darüber hi- 
naus insbesondere auch für das IT-Großprojekt elektronische Gesundheitskarte 
(eGK) neue und massive Sicherheitsgefahren entstanden sein. So lieferte allein 
Gemalto in den vergangenen Jahren für die AOK, Deutschlands größte Kran- 
kenversichemng, u. a. ihr Produkt „Sealys eGK“ an die 25 Millionen AOK- 
Mitglieder und übernahm dabei den gesamten Prozess der Kartenherstellung 
von der Produktion, über die Personalisiemng bis hin zur Ausliefemng (vgl. 
hierzu u. a. www.gemalto.com/press/Pages/news_1222.aspx). 

Professor Dr. Hartmut Pohl, Mitglied des Beirats der International Security 
Academy und Sprecher des Präsidiumsarbeitskreises „Datenschutz und IT-Si- 
cherheit“ der Gesellschaft für Informatik e. V, schätzt, dass in Deutschland ak- 
tuell weit mehr als 50 000 der wichtigsten Server in Unternehmen, Regiemng 
und Verwaltung (Strategie Servers) mit sogenannten Backdoors der NSA 
versehen sind (vgl. www.deutsche-gesundheits-nachrichten.de/2015/02/26/ 
e-card-angst-vor-datenmissbrauch-ueberschattet-medizinischen-nutzen/). 


Vorbemerkung der Bundesregierung 

Die Antwort auf die Kleine Anfrage beinhaltet zum Teil detaillierte Einzelheiten 
zu den technischen Fähigkeiten und ermittlungstaktischen Verfahrensweisen der 
Behörden. Aus ihrem Bekanntwerden könnten Rückschlüsse auf den Modus 
Operandi, die Fähigkeiten und Methoden der Ermittlungsbehörden gezogen 
werden. Deshalb sind einzelne Informationen gemäß der Allgemeinen Ver- 
waltungsvorschrift des Bundesministeriums des Innern zum materiellen und 
organisatorischen Schutz von Verschlusssachen (VS-Anweisung - VSA) als 
„VS - NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht 
zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermit- 
telt. 

Dies betrifft die Antworten zu den Fragen 4 und 10. 
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1 . Welche Erkenntnisse hat die Bundesregierung seit welchem Zeitpunkt über 
den geheimdienstlichen Angriff auf den niederländischen Chip- und Ma- 
gnetstreifenkartenhersteller Gemalto? 

Der Sachverhalt ist der Bundesregierung über die Medienberichterstattung be- 
kannt geworden. Eigene Erkenntnisse lagen zu diesem Zeitpunkt nicht vor. In 
der Folge sind verschiedene Maßnahmen ergriffen worden, um die Flintergründe 
und Auswirkungen des in Rede stehenden Angriffs aufzuklären. Im Einzelnen 
wird hierzu auf die Antwort zu Frage 10 verwiesen. 


2. Welche Erkenntnisse hat die Bundesregiemng seit welchem Zeitpunkt über 
einen möglichen geheimdienstlichen Angriff auf den deutschen SIM-Kar- 
tenhersteller Giesecke & Devrient? 

Auf die Antwort zu Frage 1 wird verwiesen. 


3. Revidiert die Bundesregiemng nach Bekanntwerden des Gemalto-Hacks 
ihre Position, dass kein US-amerikanischer Geheimdienst deutsche Unter- 
nehmen und Konzerne ausspäht (vgl. die Antwort der Bundesregiemng zu 
Frage 5 der Kleinen Anfrage der Fraktion DIE LINKE, auf Bundestags- 
dmcksache 18/2281)? 

Der Bundesregierung liegen zu dem ffagegegenständlichen Sachverhalt keine 
eigenen Erkenntnisse vor. Sie sieht daher derzeit keine Veranlassung, frühere 
Aussagen zu revidieren. 


4. Welche Ergebnisse hat die „Sonderauswertung Technische Aufklämng 
durch US-amerikanische, britische und französische Nachrichtendienste“ 
des Bundesamtes für Verfassungsschutz (BfV) zur Überprüfung der Enthül- 
lungen durch Edward Snowden in Bezug auf den Gemalto-Hack und ggf 
weitere Angriffe auf Wirtschaftsuntemehmen bis heute ergeben? 

Auf den „VS - NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwort- 
teil gemäß der Vorbemerkung der Bundesregierung wird verwiesen.* 


5. Revidiert die Bundesregiemng nach Bekanntwerden des Gemalto-Hacks 
ihre Antwort zu Frage 8 der Kleinen Anfrage der Fraktion DIE LINKE. 
(Bundestagsdmcksache 18/2281), wonach sie keine Erkenntnisse zu Wirt- 
schaftsspionage durch die NSA oder andere US-Dienste in anderen Staaten 
habe, und wenn ja, in welcher Form? 

Wenn nein, wamm nicht? 

Nein. Es liegen weiterhin keine Erkenntnisse zu angeblicher Wirtschaftsspio- 
nage durch die NSA oder anderen US -Diensten in anderen Staaten vor. 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 
Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Be- 
rechtigten eingesehen werden. 
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6. Wie schätzt die Bundesregierung die durch den Gemalto-Hack und mög- 
liche weitere Angriffe befreundeter Geheimdienste auf IT-Sicherheitsun- 
temehmen bestehende Bedrohungslage ein? 

Der Bundesregierung liegen keine Erkenntnisse vor, die hierzu eine Schlussfol- 
gerung zuließen. 


7. Teilt die Bundesregierung die Einschätzung von Prof. Dr. Hartmut Pohl, 
wonach in Deutschland aktuell weit mehr als 50 000 sogenannte Strategie 
Servers mit Backdoors der NSA versehen sind? 

Wenn ja, was gedenkt sie dagegen zu unternehmen? 

Wenn nein, zu welcher Einschätzung kommt die Bundesregierung, und 
wie viele Strategie Servers sind nach Erkenntnissen der Bundesregierung 
durch die NSA und andere befreundete Nachrichtendienste kompromit- 
tiert? 

Eine Einschätzung, für wie viele strategisch relevante Server das Vorhandensein 
von Backdoors anzunehmen bzw. auszuschließen ist, ist nicht möglich. 

Der Bundesregierung liegen keine Erkenntnisse zu kompromittierten Strategie 
Servern in Deutschland vor. 


8. Hält die Bundesregiemng neben der Überwachungsproblematik auch 
Identitätsdiebstahl, also das Täuschen mit falschen Identifizierungsnach- 
weisen, als Folge des Gemalto-Hacks für möglich (bitte begründen)? 

Nationale Identitätsdokumente sind vom „Gemalto-Hack“ nicht betroffen. 

Ein Identitätsdiebstahl wäre jedoch bspw. möglich, wenn sich ein Nutzer nur 
über ein Mobiltelefon und die dortige SIM-Karte identifiziert. Bislang liegen der 
Bundesregierung keine Erkenntnisse zu einer solchen Begehungsweise vor. 


9. Teilt die Bundesregiemng die Auffassung, dass die internen Kontrollen 
und Sicherheitsüberprüfüngen von Gemalto, angesichts der technischen 
Möglichkeiten der Geheimdienste, völlig unzureichend gewesen sind, 
wenn bis zu den Veröffentlichungen der entsprechenden Snowden-Doku- 
mente dieses Datenleck den Betreibern der F irma nicht aufgefallen ist, und 
welche Schlussfolgemngen zieht die Bundesregiemng daraus? 

Es ist nicht Aufgabe der Bundesregierung, das Sicherheitsmanagement von 
Gemalto in Frankreich oder den Niederlanden zu bewerten. 


10. Welche Maßnahmen haben Bundesregiemng und deutsche Sicherheitsbe- 
hörden infolge des geheimdienstlichen Angriffs von NSA und GCHQ auf 
den niederländischen SIM-Kartenhersteller Gemalto wann in die Wege 
geleitet, und welche Ergebnisse hatten diese jeweils? 

Auf den „VS - NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwort- 
teil gemäß Vorbemerkung der Bundesregierung wird verwiesen.* 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 
Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Be- 
rechtigten eingesehen werden. 
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1 1 . Welche Sicherheitsbehörden oder staatlichen Stellen erfassen in welcher 
Form und aufgrund welcher Informationen und Meldewege die Häufig- 
keiten, Schwere und Konsequenzen von Cyberangriffen statistisch, und 
wird dabei auch nach Angriffen durch Geheimdienste oder andere Cyber- 
kriminelle differenziert? 

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) erfasst alle 
relevanten IT-Angriffe und stellt diese im Rahmen regelmäßig erscheinender 
Lageberichte dar. Aussagen zu den möglichen Urhebern solcher IT-Angriffe er- 
folgen in Abstimmung unter anderem mit dem Bundesamt für Verfassungs- 
schutz (BfV), dem Bundeskriminalamt (BKA) und der Bundespolizei (BPOL). 


12. Was wurde nach Kenntnis der Bundesregiemng von wem unternommen, 
um auszuschließen, dass Geräte noch „infiziert“ sind? 

Die Einleitung entsprechender Maßnahmen obliegt allein Gemalto in Koopera- 
tion mit den dort zuständigen nationalen Behörden. 


13. Wären, wenn sich bestätigen sollte, dass sich NSA und GCHQ „nur“ in 
das Gemalto-Büronetz eingehackt haben, nach Einschätzung der Bundes- 
regiemng dann nur die über 10 000 Mitarbeiter von Gemalto betroffen? 

Der Bundesregierung liegen keine hinreichenden Erkenntnisse vor, um sich zu 
der Fragestellung äußern zu können. 


14. Wie charakterisiert die Bundesregiemng geheimdienstliche Angriffe auf 
Chipkartenhersteller, und hält sie eine strafrechtliche Verfolgung für ge- 
boten (bitte begründen)? 

Ein nachrichtendienstlicher Angriff auf einen Chip-Kartenhersteller kann bei 
Vorliegen aller Voraussetzungen den Straftatbestand der Geheimdienstlichen 
Agententätigkeit nach § 99 Absatz 1 Nummer 1 des Strafgesetzbuchs (StGB) er- 
füllen. Hierzu bedarf es u. a. eines Tätigwerdens „gegen die Bundesrepublik 
Deutschland“. Nach der Rechtsprechung des Bundesverfassungsgerichts erfasst 
dieses Tatbestandsmerkmal auch Umstände, in denen sich das Tätigwerden auf 
beliebige Tatsachen aus jedem Bereich, auch aus Wirtschaft und Wissenschaft 
bezieht (Az 2 BvR 215/81; Beschl. vom 26. Mai 1981; BVerfGE 57, 267, 
Rn. 43). Daranter können auch Angriffe auf Chipkartenhersteller fallen. Bei ei- 
nem Angriff auf Informationssysteme kommt darüber hinaus eine Strafbarkeit 
nach § 202a StGB (Ausspähen von Daten) in Betracht. Danach macht sich straf- 
bar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn 
bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter 
Überwindung der Zugangssicherung verschafft. 

Die Beurteilung der Frage, ob insoweit jeweils der für ein strafrechtliches Ein- 
schreiten erforderliche Anfangsverdacht gegeben ist, obliegt den zuständigen 
Strafverfolgungsbehörden. 
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15. Wird die Bundesregierung mögliche Versuche der betroffenen Firmen, 
Provider und Kunden unterstützen, die NSA sowie GCHQ bzw. die USA 
und Großbritannien auf Schadenersatz und Unterlassung zu verklagen? 

Wenn ja, in welcher Form? 

Wenn nein, warum nicht? 

Da sich die Hinweise auf die Meldungen über den Vorfall und auf eine konkrete 
nationale Gefährdung bislang nicht bestätigt haben, besteht derzeit kein Anlass 
für Überlegungen im Sinne der Fragestellung. 


1 6. Hat sich die Bundesregiemng infolge der Veröffentlichungen mit der For- 
demng um Aufklämng an die Regierungen der USA und Großbritanniens 
gewandt, und wenn ja, wann und in welcher Form, und mit welchem Er- 
gebnis passierte dies? 

Die Bundesregierung sieht derzeit keine Veranlassung, entsprechende Ersuchen 
an die Regierungen der beiden Staaten zu richten. 


17. Hält die Bundesregiemng für den Fall, dass sich die Angriffe auf IT-Si- 
cherheitsfirmen wie Gemalto bestätigen und die USA sowie Großbritan- 
nien keine Aufklämng leisten und ihre Geheimdienste ihre entsprechen- 
den illegalen Aktivitäten nicht einstellen, politische und wirtschaftliche 
Sanktionen für ein mögliches Mittel der Reaktion (bitte begründen)? 

Die Bundesregierung äußert sich nicht zu hypothetischen Fragestellungen. 


18. Welche Chip- und Magnetstreifenkartenprodukte sind nach Kenntnis der 
Bundesregiemng potenziell von dem Gemalto-Hack durch NSA und 
GCHQ betroffen? 

Der Bundesregierung liegen bisher lediglich die bekannten Presseinformationen 
vor. Zu Umfang und Ziel der mutmaßlichen Aktivitäten können daher keine 
Aussagen getroffen werden. 

Da Chipkarten von Gemalto sowohl für Debit- als auch für Kreditkarten einge- 
setzt werden, könnten potenziell beide Kartenarten betroffen sein. 


19. Hat die Bundesregiemng Erkenntnisse darüber, dass das eigentliche Ziel 
der Angriffe die OTA-Schlüssel gewesen sind, um unbemerkt Spionage- 
software auf die SIM-Karten von Zielpersonen übertragen zu können? 

Wenn ja, welche sind dies? 

Der Bundesregiemng liegen hierzu keine über die Presseberichterstattung hi- 
nausgehenden Erkenntnisse vor. 


20. Welcher wirtschaftliche Schaden ist nach Erkenntnissen der Bundesregie- 
mng schätzungsweise dadurch entstanden? 

Der Bundesregiemng liegen keine hinreichenden Erkenntnisse vor, die hier eine 
Einschätzung zuließen. 
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21. Welche Bundesministerien, Bundesbehörden und sicherheitsrelevanten 
Einrichtungen und Bereiche in der Bundesrepublik Deutschland sind 
potenziell durch den Krypto-Schlüsseldiebstahl in jeweils welchem Aus- 
maß betroffen? 

Die Regierungskommunikation ist nach aktueller Erkenntnislage nicht betrof- 
fen. Zum Schutz vertraulicher Informationen werden im Übrigen zusätzliche 
technische Sicherungsmaßnahmen genutzt. 


22. Wie viele SIM-Karten welcher Modelle und welcher Telefongesellschaf- 
ten und Telekommunikationsanbieter sind nach Kenntnis der Bundes- 
regiemng potenziell betroffen? 

23. Wie viele EC- bzw. Kreditkarten welcher Modelle und welcher Banken 
sind nach Kenntnis der Bundesregiemng potenziell betroffen? 

Die Fragen 22 und 23 werden wegen ihres Sachzusammenhangs gemeinsam be- 
antwortet. 

Der Bundesregierung liegen hierzu keine Informationen vor. 


24. Wie viele eGK-Karten welcher Modelle und welcher Krankenversiche- 
mngen sind nach Kenntnis der Bundesregiemng potenziell betroffen? 

Keine. Nach Kenntnis der Bundesregierung ist die eGK insgesamt nicht von 
dem beschriebenen Angriff betroffen. 


25. Kann die Bundesregiemng die Pressemeldung der Gematik vom 
25. Febmar2015 bestätigen (www.e-health-com.eu/details-news/gematik- 
veroeffentlicht-stellungnahme-zum-versuchten-angriff-auf-kartenhersteller- 
gemalto/b93cf7591c081503b74deld4e40c5798/) und definitiv ausschlie- 
ßen, dass von dem Angriff der Geheimdienste der USA und Großbritan- 
niens auf den Kartenhersteller Gemalto elektronische Gesundheitskarten 
betroffen sind? 

Die Bundesregierung hat keine Erkenntnisse, die Zweifel an der Darstellung der 
Gematik aufkommen lassen. Im Übrigen werden für die eGK technisch und or- 
ganisatorisch andere Sicherheitskonzepte und -verfahren genutzt. 


26. Wie viele Pässe und Personalausweise welcher Staaten sind nach Kenntnis 
der Bundesregiemng jeweils potenziell betroffen? 

Im Umfeld deutscher hoheitlicher Dokumente wie Reisepässe oder Personalaus- 
weise werden keine Chips des Unternehmens Gemalto verwendet. Die Be- 
schlüsselung der hierfür verwendeten Chips erfolgt durch die Bundesdruckerei. 

Zu den Pässen und Personalausweisen anderer Staaten liegen der Bundesregie- 
rung keine Erkenntnisse vor. 


27. Wie viele Untemehmensausweise und Kundenkarten welcher Modelle 
und Firmen sind nach Kenntnis der Bundesregiemng jeweils potenziell 
betroffen? 

Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 
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28. Wie viele Kartenlesegeräte welcher Modelle sind nach Kenntnis der Bun- 
desregierung jeweils potenziell betroffen? 

Die Bundesregierung hat keine Kenntnis über das Kartenlesegeräte-Portfolio 
des betroffenen Anbieters. Vom BSl-zertifizierte Geräte sind nicht betroffen. Im 
Übrigen ist der Markt für derartige Geräte nicht reguliert. 


29. Welche SIM-Karten sind nach Kenntnis der Bundesregiemng überhaupt 
noch als sicher anzusehen (bitte begründen)? 

Telekommunikationstechnik bietet keine absolute Sicherheit. Das gilt auch für 
SIM-Karten. 


30. Hält die Bundesregiemng einen Austausch der potenziell betroffenen Kar- 
ten oder ein Offline Update aus Sicherheitsgründen für notwendig, und 

wenn ja, 

a) was hat sie diesbezüglich bereits unternommen oder wird sie diesbe- 
züglich wann unternehmen; 

b) welche Reaktionen, Aktivitäten und Ankündigungen seitens der be- 
troffenen Hersteller, Telekommunikationsfirmen, Banken, Versiche- 
mngen etc. gab es bisher; 

c) welche Kosten entstünden nach Kenntnis der Bundesregiemng durch 
den Austausch oder das Offline Update der betroffenen Karten, und 
wer wird diese Kosten tragen; 

d) wann und auf welchem Weg wird der Austausch vorgenommen, und 
wie wird bis dahin verfahren; 

e) wie könnte ein Offline Update an einem gesicherten Kartenterminal 
technisch und praktisch durchgeführt werden, und böte es dieselbe 
Sicherheit wie ein Vollaustausch der betroffenen Karten (bitte begrün- 
den)? 

Nach Kenntnis der Bundesregierung ist die eGK nicht betroffen. Ein Austausch 
oder Update dieser Karten ist somit nicht angezeigt. 

Im Falle von Debit- und Kreditkarten, die von Instituten ausgegeben werden, 
liegt die risikoorientierte Entscheidung über einen etwaigen Austausch von Kar- 
ten bei den betroffenen Instituten. 

Zur konkreten Machbarkeit eines entsprechend zeitnahen Austauschs oder Up- 
dates liegen keine Erkenntnisse vor, außer dass im Jahr 2010 das Einspielen ei- 
nes Software-Updates auf mehrere Millionen Gemalto-Chipkarten über die 
Geldautomaten möglich war. Inwiefern dieser Mechanismus geeignet ist, für die 
Ausgabe kryptographischer Schlüssel verwendet zu werden, ist gegenwärtig un- 
klar. 


3 1 . Wie wird sichergestellt, dass neu ausgegebene Karten nicht kompromit- 
tiert sind? 

Die Gematikhatin ihrer Stellungnahme vom 25. Febraar 2015 bestätigt, dass die 
Produktion der Gesundheitskarten sehr hohen Sicherheitsstandards unterliegt, 
deren Einhaltung regelmäßig von Sicherheitsgutachtem geprüft wird. Im Übri- 
gen wird auf die Antwort zu Frage 30 verwiesen. 
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32. Wäre nach Auffassung der Bundesregierung auch ein Online Update mög- 
lich (bitte begründen), und wenn ja, 

a) in welchen Fällen, 

b) wie könnte sichergestellt werden, dass niemand den entsprechenden 
Datenverkehr mitspeichert und so auch die neuen Schlüssel abgreifen 
kann? 

Zur eGK wird auf die Antwort zu Frage 24, im Übrigen auf die Antwort zu 
Frage 30 verwiesen. 


33. Wie viele Fälle von Angriffen durch ausländische Sicherheitsbehörden 
und Nachrichtendienste auf Tmst Center und IT-Sicherheitsfirmen sind 
der Bundesregiemng bekannt (bitte nach Jahr, Sicherheitsfirma, vermutli- 
chem Angreifer und entstandenem Schaden auflisten)? 

Der Bundesregierung liegen keine über die Medienberichterstattung hinausge- 
henden Erkenntnisse über Angriffe von ausländischen Sicherheitsbehörden auf 
nationale Trust Center und IT-Sicherheitsfirmen vor. 


34. Hält die Bundesregiemng andere europäische Verschlüsselungsstandards 
für notwendig, und wenn ja, wann und in welcher Form wird sie sich dafür 
einsetzen? 

Wenn nein, wamm nicht? 

Das BSI veröffentlich regelmäßig „Technische Richtlinien“. In diesen Richt- 
linien werden u. a. Verschlüsselungs-Algorithmen empfohlen, die gegenwärtig 
als sicher gelten. 


35. Gibt es nach Kenntnis der Bundesregiemng bereits eine Reaktion der In- 
ternationalen Femmeldeunion (ITU), und wenn ja, wie sah diese aus? 

Der Bundesregierung ist gegenwärtig keine Reaktion der Internationalen Fem- 
meldeunion (ITU) zu diesem Vorgang bekannt. 


36. Gibt es nach Kenntnis der Bundesregiemng bereits Reaktionen von Regu- 
liemngsbehörden oder den mnd 800 Handyanbietern die der Mobilfunk- 
verband GSMA weltweit vertritt, und wenn ja, wie sahen diese jeweils 
konkret aus? 

Der Bundesregiemng sind gegenwärtig keine Reaktionen von Regulierangsbe- 
hörden oder dem Mobilfunkverband GSMA zu diesem Vorgang bekannt. 


37. Könnten nach Einschätzung der Bundesregiemng die von den Geheim- 
diensten erlangten Informationen dazu verwendet werden, um zukünftig 
die elektronische Gesundheitskarte und die dahinterstehende Telematik- 
infrastruktur zu kompromittieren und die sensibelsten und schützenswer- 
testen Daten der Versicherten einzusehen und zu missbrauchen (bitte 
begründen)? 


Auf die Antwort zu Frage 24 wird verwiesen. 
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38. Kann die Bundesregierung die Behauptung der Gematik, elektronische 
Gesundheitskarten seien nicht betroffen, weil sie auf anderen Produktions- 
systemen hergestellt würden und ein gleichzeitiger Angriff auf beide 
Produktionssysteme nach derzeitiger Erkenntnis auszuschließen sei 
(www.heise.de/newsticker/meldung/Gematik-Gesundheitskarten-sind- 
sicher-2560040.html), bestätigen? 

Auf die Antwort zu Frage 25 wird verwiesen. 


39. Wie können nach Einschätzung der Bundesregierung solche Äußerungen 
erfolgen, wo doch auch der nun bekannt gewordene Angriff auf Gemalto 
nur durch die Veröffentlichungen einiger Snowden-Dokumente an die Öf- 
fentlichkeit kam? 

Die elektronische Gesundheitskarte verwendet andere technische und organisa- 
torische Sicherheitskonzepte als die hier betroffenen SIM-Karten. 


40. Mit welcher Wahrscheinlichkeit kann die Bundesregierung ausschließen, 
dass noch weitere Angriffe auf die Herstellungs- und Verarbeitungspro- 
zesse der eGK - sei es durch NSA, GCHQ oder aber auch durch andere - 
erfolgt sind oder zukünftig erfolgen? 

Cyber- Angriffe gegen informationstechnische Einrichtungen können nicht aus- 
geschlossen werden. Die Konzepte der Gematik für die Telematikinfrastraktur 
enthalten gerade vor dem Hintergrand möglicher Angriffe und Gefährdungen 
spezifische Sicherheitsvorkehrangen nach dem jeweils aktuellen Erkenntnis- 
stand. Das BSl unterstützt dabei die Gematik. 


41. Teilt die Bundesregierang die Auffassung, dass die Stammdaten der Ver- 
sicherten besonders schützenswerte Daten darstellen, sodass es nicht hin- 
zunehmen wäre, wenn Stammdaten (Namen, Anschrift, Geburtsdatum 
und Versichertennummer) in die Hände Unbefugter gelangen würden? 

Wenn ja, welche Maßnahmen zum Schutz der Versichertenstammdaten 
hat sie bereits ergriffen, bzw. wird sie in die Wege leiten? 

Wenn nein, warum nicht? 

Die vier in der Frage genannten persönlichen Angaben dienen bei Vorlage der 
Karte unter anderem der Identifikation der Person, die die Karte beispielsweise 
bei einem Leistungserbringer vorlegt. 

Bereits bei der in der Vergangenheit verwendeten Krankenversichertenkarte so- 
wie der Europäischen Krankenversicherangskarte sind diese Daten entweder auf 
der Karte aufgedrackt bzw. können durch die dafür vorgesehenen Geräte etwa in 
Arztpraxen oder Krankenhäusern ausgelesen werden (die Anschrift ist nur elek- 
tronisch auslesbar). Eine Änderung hieran ist nach den Konzepten der Gematik 
für die eGK nicht vorgesehen. 

Um im Übrigen die Karte auch als Europäische Krankenversicherangskarte nut- 
zen zu können, ist der Aufdruck entsprechender Merkmale zudem auf EU-Ebene 
vereinbart worden. 
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42. Wie bewertet die Bundesregierung in diesem Zusammenhang die Aussa- 
gen der Betreiberfirma der elektronischen Gesundheitskarte Gematik, 
dass auch nach dem Hack bei Gemalto der Einsatz der eGK deshalb sicher 
sei, weil die Karten bisher keine medizinischen Daten beinhalten und auf 
dem Chip der eGK „lediglich die Stammdaten der Versicherten“ gespei- 
chert seien (www.ihre-vorsorge.de/index.php?id=275&tx_ttnews%5Btt_ 
news%5D=10583&cHash=34831badl07ff7d0167 7bl5a4603b3d)? 

43. Sieht die Bundesregierung aufgrund der nun bekannt gewordenen wahr- 
scheinlichen Kompromittierung von Gemalto-Sicherheitskarten und der 
damit einhergehenden strukturellen Unsicherheit bei der Digitalisierung 
im Gesundheitswesen eine Notwendigkeit, ihren Gesetzentwurf für ein 
E-Health-Gesetz zurückzuziehen (bitte begründen)? 

44. Wird die Bundesregierung die gesetzlichen Voraussetzungen dafür schaf- 
fen, die dargestellten Sicherheitsmängel in der Digitalisierung im Gesund- 
heitswesen zu korrigieren, und wenn ja, in welcher Form (bitte begrün- 
den)? 

45. Wird die Bundesregierung das Mammutprojekt eGK anlässlich der nach 
Auffassung der Fragesteller mit der Gemalto-Affäre deutlich werdenden 
mangelnden Technikfolgenabschätzung rückabwickeln (bitte begründen)? 

Die Fragen 42 bis 45 werden wegen ihres Sachzusammenhangs gemeinsam be- 
antwortet. 

Auf die Antwort zu Frage 24 wird verwiesen. 


46. Wird die Bundesregiemng eine patientenorientierte und datenschutzge- 
rechte technische Infrastruktur im Gesundheitswesen schaffen und dafür 
sorgen, dass die durch die Snowden-Enthüllungen bekannt gewordenen 
illegalen Zugriffe ausländischer Geheimdienste auf Behörden, Firmen und 
Datenbestände in Deutschland untersucht und mit allen zur Verfügung ste- 
henden legalen Mitteln unterbunden werden? 

Wenn ja, in welcher Form? 

Wenn nein, wamm nicht? 

Die Schaffung einer patientenorientierten und datenschutzgerechten techni- 
schen Infrastruktur im Gesundheitswesen ist das Ziel der Einführung der Tele- 
matikinfrastruktur. 


47. Welche dezentralen Konzepte, die ohne große Datenmengen an einem Ort, 
wie sie manche Anwendungen der eGK mit sich bringen, auskommen, 
sind der Bundesregiemng als Alternativen zur eGK bekannt? 

Nach Auffassung der Bundesregierung ist die eGK in der Hand der Patientinnen 
und Patienten das geeignete Instrument, um den behandelnden Personen bei Be- 
darf Daten sicher und verlässlich zur Verfügung stellen können. 
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